Zum Inhalt springen

Services, Wiki-Artikel und Blog-Beiträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Digitale Identitäten: Zwischen Realität und Cyberspace

Was digitale Identitäten sind, wie Identitätsdiebstahl funktioniert und wie man sich mit MFA, Passkeys, eIDAS und Self-Sovereign Identity schützt.

Inhaltsverzeichnis (6 Abschnitte)

Kurzerklärung: Das unbefugte Stehlen und Missbrauchen persönlicher Daten einer anderen Person - um in deren Namen Verträge abzuschließen, Käufe zu tätigen, Straftaten zu begehen oder andere Personen zu schädigen.

Die digitale Identität ist das Pendant zur physischen Person im Cyberspace: Sie bestimmt, wer jemand ist, welche Ressourcen er nutzen darf und wie vertrauenswürdig seine Handlungen eingestuft werden. Mit der zunehmenden Digitalisierung von Behördenleistungen, Banking, Gesundheitsversorgung und Arbeitsleben wächst die Bedeutung digitaler Identitäten ebenso wie die Risiken, die mit ihrer Kompromittierung verbunden sind.

Was sind digitale Identitäten

Eine digitale Identität ist die Gesamtheit aller Attribute und Nachweise, die eine Person, Organisation oder ein System in einem digitalen Kontext eindeutig identifizierbar machen. Sie setzt sich aus verschiedenen Ebenen zusammen:

Online-Konten und Zugangsdaten

Die bekannteste Form digitaler Identität ist das Benutzerkonto: eine Kombination aus Kennung (E-Mail-Adresse, Benutzername) und Authentifizierungsmerkmal (Passwort, Token, Biometrie). Moderne Dienste setzen auf föderierte Identitäten über Protokolle wie OAuth 2.0 und OpenID Connect, sodass ein Google- oder Microsoft-Konto als Identitätsgrundlage für Dutzende weiterer Dienste dient. Das vereinfacht die Nutzung, schafft aber auch einen Single Point of Failure: Wer das zentrale Konto übernimmt, hat Zugang zu allen angebundenen Diensten.

Biometrische Daten

Fingerabdrücke, Gesichtsgeometrie, Iris-Muster und Stimmmuster sind biometrische Identitätsmerkmale. Sie haben einen entscheidenden Vorteil gegenüber Passwörtern: Sie sind an die Person gebunden und schwer zu übertragen. Ihr größter Nachteil ist ebenso eindeutig: Sie sind unveränderlich. Ein gestohlenes Passwort lässt sich ändern, ein kompromittierter Fingerabdruck nicht. Biometrische Daten zählen nach DSGVO Art. 9 zu den besonderen Kategorien personenbezogener Daten und genießen besonderen Schutz.

Digitale Zertifikate und kryptografische Identitäten

X.509-Zertifikate binden einen öffentlichen Schlüssel an eine Identität und ermöglichen kryptografisch gesicherte Authentifizierung. In der Unternehmens-IT werden sie für Geräteauthentifizierung (802.1X), E-Mail-Signierung (S/MIME) und VPN-Zugang eingesetzt. Der deutsche Personalausweis mit eID-Funktion sowie der neue europäische EUDI Wallet (European Digital Identity Wallet) basieren auf ähnlichen kryptografischen Prinzipien: Der Nutzer beweist seine Identität durch Besitz eines privaten Schlüssels, ohne sensible Daten direkt übertragen zu müssen.

Digitale Fußabdrücke

Neben aktiv verwalteten Identitäten existiert eine passive Identitätsebene: die Summe aus Verhaltensmustern, Gerätefingerabdrücken, IP-Adressen, Cookies und Metadaten, die Dienste über Nutzer erheben. Diese impliziten Identitätsmerkmale werden zunehmend für kontinuierliche Authentifizierung (Behavioral Biometrics) genutzt, bilden aber gleichzeitig ein Risikopotenzial, da sie ohne Wissen der betroffenen Person zusammengeführt und missbraucht werden können.

Identitätsdiebstahl: Methoden und Folgen

Laut Verizon DBIR 2024 nutzen über 80 Prozent aller Datenschutzverletzungen kompromittierte Zugangsdaten als Einstiegspunkt. Identitätsdiebstahl ist damit keine Randerscheinung, sondern der dominierende Angriffsweg der modernen Cyberkriminalität.

Angriffsmethoden

Credential Stuffing: Angreifer kaufen oder erbeuten Datenbankdumps aus Datenpannen (Have I Been Pwned listet über 12 Milliarden kompromittierte Accounts) und testen diese Kombinationen automatisiert gegen weitere Dienste. Weil viele Nutzer Passwörter wiederverwenden, ist die Erfolgsrate erschreckend hoch.

Phishing und Spear-Phishing: Gefälschte Login-Seiten, die auf täuschend echten Domains liegen, ernten Zugangsdaten direkt beim Nutzer. Spear-Phishing richtet sich zielgerichtet an Einzelpersonen, unter Nutzung persönlicher Informationen aus sozialen Netzwerken. Auch Social Engineering über Telefon (Vishing) ist weit verbreitet.

Adversary-in-the-Middle (AitM): Moderne Phishing-Kits wie Evilginx oder Modlishka agieren als Reverse-Proxy: Sie stehen zwischen Opfer und echtem Dienst, leiten Anfragen durch und greifen dabei Session-Cookies ab — auch nach erfolgreicher MFA-Authentifizierung.

SIM-Swapping: Angreifer bringen Mobilfunkanbieter durch Social Engineering dazu, eine Telefonnummer auf eine neue SIM-Karte zu übertragen. Damit können SMS-basierte Zwei-Faktor-Codes abgefangen werden.

Datenpannen: Unternehmen, bei denen Nutzerdaten gespeichert sind, werden direkt angegriffen. Exfiltrierte Datenbanken mit Hashes oder Klartextpasswörtern landen auf Untergrundmärkten und dienen als Grundlage für weitere Angriffe.

Malware und Infostealer: Schadsoftware wie RedLine oder Raccoon Stealer extrahiert gespeicherte Browser-Passwörter, Session-Cookies, Krypto-Wallets und Autofill-Daten direkt vom infizierten Gerät. Infostealer-Logs werden im Darknet als "Stealer Logs" im Abonnement verhandelt.

Folgen für Betroffene

Die Folgen eines erfolgreichen Identitätsdiebstahls sind weitreichend:

  • Finanzieller Schaden: Unbefugte Überweisungen, Kreditaufnahmen im Namen des Opfers, Kauf auf Rechnung
  • Reputationsschaden: Missbrauch von Social-Media-Konten zur Verbreitung von Fehlinformationen oder illegalen Inhalten
  • Datenverlust: Zugriff auf persönliche E-Mails, Dokumente, Fotos
  • Rechtliche Konsequenzen: Strafanzeigen wegen Handlungen, die jemand anderes im Namen des Opfers begangen hat
  • Langwieriger Wiederherstellungsprozess: Das Zurückgewinnen kompromittierter Konten und das Bereinigen eines beschädigten Namens kann Monate dauern

Schutzmaßnahmen

Multi-Faktor-Authentifizierung (MFA)

MFA ist die wirkungsvollste einzelne Maßnahme gegen Identitätsdiebstahl durch gestohlene Passwörter. Sie verlangt neben dem Wissen (Passwort) einen zweiten Faktor:

  • TOTP (Time-based One-Time Password): Apps wie Google Authenticator oder Authy generieren zeitbasierte Einmalcodes. Sicherer als SMS, aber anfällig für AitM-Angriffe.
  • FIDO2/WebAuthn Hardware-Token: YubiKey und vergleichbare Geräte sind phishing-resistent, weil der Authentifizierungsvorgang an die spezifische Domain gebunden ist. Ein gefälschtes Login-Portal kann keinen gültigen FIDO2-Nachweis erzwingen.
  • SMS-OTP: Grundschutz, aber anfällig für SIM-Swapping und SS7-Angriffe. Wird vom BSI als eigenständige MFA-Lösung nicht empfohlen, ist aber besser als kein zweiter Faktor.

Passkeys

Passkeys sind die modernste Form der Authentifizierung und basieren auf dem FIDO2-Standard. Sie ersetzen Passwörter vollständig: Das Gerät speichert einen privaten Schlüssel, der die Plattform nie verlässt. Die Authentifizierung erfolgt durch biometrische Verifikation oder Geräte-PIN auf dem Endgerät, nicht durch Übermittlung eines Geheimnisses an den Server.

Vorteile von Passkeys gegenüber Passwörtern:

  • Kein Passwort, das gestohlen, vergessen oder wiederholt werden kann
  • Phishing-resistent: Domain-Bindung verhindert Nutzung auf gefälschten Seiten
  • Kein Server-seitiges Passwort-Hashing mehr notwendig
  • Synchronisierbar über Plattform-Ökosysteme (iCloud Keychain, Google Password Manager)

Apple, Google und Microsoft unterstützen Passkeys plattformübergreifend. Die Migration bestehender Accounts ist für Nutzer einfach und für Unternehmen zunehmend empfehlenswert.

Passwort-Hygiene und Passwort-Manager

Für Dienste, die noch keine Passkeys unterstützen, gelten folgende Grundsätze:

  • Einzigartiges Passwort pro Dienst (verhindert Credential Stuffing)
  • Mindestens 16 Zeichen, zufällig generiert
  • Verwaltung über einen Passwort-Manager (Bitwarden, 1Password, KeePassXC)
  • Regelmäßige Prüfung auf bekannte Kompromittierungen via Have I Been Pwned oder integrierter Breach-Monitoring-Funktion

Identity Monitoring und Dark-Web-Überwachung

Viele Identitätsdiebstähle bleiben lange unentdeckt, weil kompromittierte Daten zunächst gehandelt werden, bevor sie aktiv missbraucht werden. Monitoring-Dienste benachrichtigen bei Fund der eigenen E-Mail-Adresse oder Telefonnummer in bekannten Datenpannen. Unternehmen können zudem Dark-Web-Monitoring-Dienste einsetzen, die gezielt nach Unternehmensdomains in Stealer-Log-Datenbanken suchen.

Zero-Trust-Prinzip für Identitäten

In Unternehmensumgebungen sollte kein Zugriff allein aufgrund einer einmalig verifizierten Identität dauerhaft vertrauenswürdig sein. Das Zero-Trust-Modell fordert kontinuierliche Verifikation: Jede Zugriffsanfrage wird erneut bewertet, unter Berücksichtigung von Gerätezustand, Netzwerkkontext, Risikolevel der Identität und Sensitivität der Ressource. Für die Umsetzung bieten Lösungen wie Microsoft Entra ID Conditional Access oder Okta Identity Engine umfassende Steuerungsmöglichkeiten. Mehr dazu im Wiki-Artikel zu Identity and Access Management.

eIDAS und die europäische Digitalidentität

Die eIDAS-Verordnung (Electronic Identification, Authentication and Trust Services, EU 910/2014) schafft den rechtlichen Rahmen für grenzüberschreitend anerkannte digitale Identitäten und Vertrauensdienste in der EU. Sie definiert:

  • Elektronische Identifizierungsmittel (eID): Staatlich anerkannte digitale Identitätsnachweise, darunter der deutsche Personalausweis mit eID-Funktion
  • Qualifizierte elektronische Signaturen (QES): Rechtlich einer handschriftlichen Unterschrift gleichgestellt, basierend auf qualifizierten Zertifikaten
  • Vertrauensdienste: Elektronische Zeitstempel, Website-Authentifizierungszertifikate (EV-Zertifikate), Einschreiben-Dienste

Mit eIDAS 2.0 (in Kraft seit 2024) kommt der EUDI Wallet (European Digital Identity Wallet): eine standardisierte App, in der Bürger staatlich ausgestellte Identitätsnachweise, Führerschein, Hochschulabschlüsse und Berufsqualifikationen digital verwalten und selektiv vorzeigen können. Das Prinzip der selektiven Offenlegung — man beweist, dass man über 18 ist, ohne Geburtsdatum zu nennen — stärkt den Datenschutz erheblich.

Für Unternehmen, die Identitätsprüfungen durchführen (z. B. für KYC-Prozesse), bietet eIDAS 2.0 eine standardisierte Infrastruktur, die den bisherigen Flickenteppich aus nationalen eID-Verfahren vereinheitlicht.

Self-Sovereign Identity (SSI)

Self-Sovereign Identity ist ein dezentrales Identitätsparadigma, das die Kontrolle über Identitätsdaten vollständig in die Hände der betroffenen Person legt. Statt Identitätsattribute bei einer zentralen Instanz (Google, Facebook, staatlichem Register) zu hinterlegen, verwaltet der Nutzer sie selbst in einer digitalen Wallet.

Kerntechnologien

Decentralized Identifiers (DIDs): W3C-standardisierte Identifier, die auf dezentralen Infrastrukturen (Blockchain, IPFS, serverlose Registries) registriert werden und keiner zentralen Autorität bedürfen.

Verifiable Credentials (VCs): Kryptografisch signierte Aussagen über Identitätsattribute, ausgestellt von vertrauenswürdigen Institutionen (Behörden, Hochschulen, Arbeitgebern). Ein VC lässt sich verifizieren, ohne die ausstellende Instanz zu kontaktieren.

Zero-Knowledge Proofs: Kryptografisches Verfahren, das es erlaubt, Eigenschaften nachzuweisen, ohne die zugrundeliegenden Daten offenzulegen. Klassisches Beispiel: Nachweis der Volljährigkeit ohne Übermittlung des Geburtsdatums.

Praktische Umsetzungen

SSI-Konzepte fließen zunehmend in reale Projekte ein: Der EUDI Wallet basiert konzeptionell auf SSI-Prinzipien. Das IDunion-Netzwerk (europäisches SSI-Ökosystem) verbindet staatliche und private Identitätsaussteller. Im Unternehmensbereich erproben Branchen wie Automotive und Logistik SSI für sichere B2B-Identitäten in Lieferketten.

SSI ist noch keine Massentechnologie, aber die regulatorischen Impulse durch eIDAS 2.0 und das wachsende Misstrauen gegenüber zentralisierten Identitätsprovider beschleunigen die Entwicklung.

Praxisempfehlungen

Für Privatpersonen:
□ Passwort-Manager einrichten (Bitwarden kostenlos, 1Password für Teams)
□ MFA auf allen wichtigen Konten aktivieren (E-Mail, Banking, Social Media)
□ Wo möglich: FIDO2-Token oder Passkeys statt SMS-OTP verwenden
□ E-Mail-Adresse auf Have I Been Pwned prüfen
□ Separate E-Mail-Adresse für kritische Dienste (Banking, Behörden)
□ Regelmäßige Überprüfung aktiver Sessions und verbundener Apps

Für Unternehmen:
□ Single Sign-On (SSO) über zentralen Identity Provider (Entra ID, Okta, Keycloak)
□ MFA für alle Mitarbeitenden verpflichtend — keine Ausnahmen
□ Phishing-resistente MFA (FIDO2) für privilegierte Konten und Remote-Zugriff
□ Joiner/Mover/Leaver-Prozess: Identitäten bei Rollenwechsel sofort anpassen
□ Dark-Web-Monitoring für Unternehmensdomains und Service-Accounts
□ Security Awareness Training mit Phishing-Simulationen
□ Regelmäßige Access Reviews: Wer hat Zugang zu was — ist das noch gültig?
□ Privileged Access Management (PAM) für Admin-Identitäten

Digitale Identitäten sind das Fundament jeder Sicherheitsarchitektur. Kompromittierte Identitäten sind der häufigste Angriffsweg — und gleichzeitig einer der am besten mit bekannten Maßnahmen adressierbaren. Phishing-resistente MFA, Passkeys und konsequentes Identity Lifecycle Management reduzieren das Risiko eines erfolgreichen Identitätsdiebstahls drastisch, sowohl für Einzelpersonen als auch für Unternehmen.

BegriffBedeutungBeispiel
AuthentisierungDer Nutzer behauptet eine Identität (Nachweis seiner Identität)"Ich bin Max Müller, hier ist mein Passwort"
AuthentifizierungDas System verifiziert die behauptete IdentitätSystem prüft: Stimmt das Passwort für "Max Müller"?
AutorisierungBerechtigungserteilung nach erfolgreicher IdentitätsprüfungMax Müller darf auf Ordner X, aber nicht auf Y

Quellen & Referenzen

  1. [1] eIDAS-Verordnung (EU) 910/2014 - Europäisches Parlament und Rat
  2. [2] BSI TR-03107 - Elektronische Identitäten und Vertrauensdienste - Bundesamt für Sicherheit in der Informationstechnik
  3. [3] ENISA Threat Landscape: Identity and Access Management 2024 - European Union Agency for Cybersecurity
  4. [4] Verizon Data Breach Investigations Report 2024 - Verizon

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

E-Mail
PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen - CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking - Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 29.03.2026 bearbeitet. Verantwortlich: Chris Wojzechowski, Geschäftsführender Gesellschafter bei AWARE7 GmbH. Lizenz: CC BY 4.0 - freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de